Experimento de phishing elude todo los filtros anti-spam

Un reciente experimento de phishing llevado a cabo éticamente (Nuevo estudio detalla la dinámica del phishing exitoso) imitando a LinkeIn al enviar invitaciones por correo electrónico provenientes de Bill Gates, ha conseguido un 100% de éxito en atravesar los filtros anti-spam contra los que fue puesto a prueba.

El experimento enfatiza como las campañas a baja escala de arpones de phishing son capaces de traspasar los filtros anti-spam, y una vez más prueban que los usuarios continuan interactuando con correos electrónicos de phishing.


Más información de la metodología usada:

“Este escenario fuen una invitación desde Linkein, simulando ser una invitación de Bill Gates para unirse a su red. Se eligió Linkedin por su disponibilidad, y por el hecho de ser una red social reconocida por la mayoría de los ejecutivos. Esta selección de Linkedin también se basó en el hecho que los correos electrónicos de linkedin ya deberían ser identificados por la mayoría de los sistemas de correo electrónico existentes, y esto podría haber ayudado al envio a las casillas de correo. El enlace del phishing puede ser identificado en el código HTML más abajo.

El sitio de phishing se hizo en base a la página de ingreso de Linkedin. La acción del formulario se cambió para que el usuario fuera redirigido subsecuentemente a una página en nuestro sitio. No se recolectaron nombres de usuario ni contraseñas durante la evaluación. Todos los usuarios blanco de la prueba fueron contactados antes que se les enviara el correo de phishing, y estaban esperando una invitacion Linkedin de Bill Gates.”

Un estudio similar fue llevado a cabo por el proveedor de phishing ético PhishMe.com en marzo de este año, señalando que basado en los 32 escenarios de phishing probados contra 69.000 empleados, la gente es menos precavida cuando hace clic en enlaces activos en los correos que cuando les es requerida información sensible. Este comportamiento no es sorprendente que sea citado por PhishCamp como una posible oportunidad para introducir amenazas mixtas, similares a los casos donde sitios de phishing y scareware también están sirviendo a exploits del lado del cliente.

• Vea los post relacionados: 419 scammers using Dilbert.com; 419 scammers using NYTimes.com ‘email this feature’; Fortune 500 companies use of email spoofing countermeasures declining; Gmail, Yahoo and Hotmail systematically abused by spammers.

Con el precio promedio en baja de mil cuentas activas de Gmail, Yahoo Mail y Hotmail debido a la economía de escala conseguida por los proveedores de servicios de resolución de CAPTCHA, y las numerosas herramientas disponibles a disposición de los spammers para aprovecharse de estas cuentas, a largo plazo todos los spammers comenzarán a abusar de la confianza ya establecida de DomainKeys entre la mayoría de los proveedores populares de correo gratuito.

¿Cuál es la tasa de éxito del spam y el phishing que llega a su bandeja de entrada? ¿Qué hay de su correo corporativo? Además, ¿cree que el phishing ético es la forma más constructiva de crear concientización respecto de los ataques de phishing, o cree que eso impulsa la innovación en la direccion equivocada al intentar conseguir métricas mediante clics en lugar de aconsejar a los usuarios de evitar interactuar con tales correos en general?

Traducción: Raúl Batista - Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet

Suscríbete a nuestro Boletín